Campanha de ciberataques explora vulnerabilidade no Microsoft SmartScreen
Recentemente, pesquisadores de cibersegurança descobriram uma campanha ativa que explora a vulnerabilidade do Microsoft SmartScreen (CVE-2024-21412). Esta ameaça tem como alvo várias regiões, incluindo Espanha, EUA e Austrália, utilizando iscas relacionadas a esquemas de seguro saúde, avisos de transporte e comunicações fiscais. A intenção é enganar indivíduos e organizações a baixar cargas maliciosas em seus sistemas.
Como Funciona a Infecção
A infecção inicia com um e-mail de spam contendo um link. Este link redireciona os usuários para um compartilhamento WebDAV via um protocolo de busca, enganando-os a executar um arquivo de atalho da internet malicioso, que explora a CVE-2024-21412. Os atacantes realizam um ataque em múltiplas etapas, utilizando ferramentas legítimas como forfiles.exe, PowerShell, mshta, e outros arquivos confiáveis para contornar as medidas de segurança.
Técnica de Ataque e Cargas Maliciosas
A cadeia de ataque envolve o carregamento de DLLs de forma paralela (DLL sideloading) e o uso do IDATLoader para injetar a carga final no explorer.exe. Esta campanha entrega Lumma e Meduza Stealer como cargas finais. Em janeiro de 2024, uma campanha sofisticada chamada DarkGate foi descoberta, explorando a CVE-2024-21412 através de instaladores de software falsos.
Correção e Mitigação
No dia 13 de fevereiro de 2024, a Microsoft corrigiu esta vulnerabilidade no Microsoft Defender SmartScreen, que envolvia atalhos de internet. No entanto, recentemente foi detectada uma nova campanha ativa que ainda abusa de atalhos de internet (URL). Para mitigar esses riscos, é essencial que usuários e administradores mantenham seus sistemas atualizados com os últimos patches de segurança. Além disso, é crucial estar vigilante contra e-mails de phishing e outros métodos de engenharia social.
Medidas de Proteção
Para se proteger contra essas ameaças, mantenha sempre seus sistemas atualizados com os patches de segurança mais recentes. Esteja atento a e-mails suspeitos, especialmente aqueles que contêm links ou anexos inesperados. Adotar uma abordagem proativa na cibersegurança pode fazer a diferença na proteção dos dados e sistemas de sua organização.
Fonte: BoletimSec